代码漏洞扫描工具 fortify 是如何运行的

Fortify是一款静态应用安全测试（SAST）工具，它通过分析源代码、字节码和二进制代码来识别潜在的安全漏洞。Fortify工作原理是将扫描目标的代码导入其分析引擎、执行静态代码分析、识别与已知模式匹配的安全漏洞、生成详尽的报告。在这个过程中，Fortify会使用一个丰富的安全漏洞规则数据库来检测广泛的安全问题，包括输入验证和表示层缺陷，后端连接（如SQL注入），以及非功能性问题如性能问题和可靠性问题。

一、FORTIFY概述与框架

Fortify软件由几个关键部分组成：源代码分析器（SCA），软件安全中心（SSC）和插件或附加组件。源代码分析器是Fortify的核心组件，负责源代码的静态分析；而软件安全中心则为用户提供了一个集中的Web平台，用以查看、管理和报告分析结果。使用Fortify时，扫描过程通常遵循以下步骤：

二、代码准备与导入

Fortify源代码分析器在运行之前需要针对目标代码进行准备。这通常涉及到确保代码是编译器可以编译通过的状态，并且所有依赖项均已满足。接着，代码会被导入Fortify中，这一步通常通过Fortify提供的插件集成在常用的IDE（集成开发环境）中或使用命令行工具完成。

三、静态代码分析

完成导入步骤后，Fortify将对源代码进行静态分析。这个过程中，工具会构建程序的抽象语法树（AST），并且可能还会创建一个数据流图（DFG）或控制流图（CFG）。这些图表允许Fortify理解代码的结构和逻辑流程，从而能够有效地检查各种安全漏洞。分析过程是自动化的，并且可以检测出数百种潜在的安全问题，如跨站脚本（XSS）、SQL注入、缓冲区溢出等。

四、规则和漏洞检测

Fortify运行其安全规则集，这些规则基于多年的安全研究、已知漏洞和行业最佳实践。Fortify的规则库广泛而深入，涵盖了OWASP TOP 10和CWE/SANS TOP 25等众多安全标准。分析器使用这些规则来检测代码中的安全漏洞，并标记出可能的风险点。规则是可配置和可定制的，这意味着用户可以根据自己的需要调整扫描策略。

五、结果审查与解释

一旦分析完成，Fortify生成一份报告，详细列出了识别出的所有问题。报告包括问题描述、影响程度评级、以及问题所在的确切代码位置。用户需要对这些结果进行审查，判断哪些是真正的漏洞，哪些可能是误报。Fortify提供了丰富的信息帮助理解和解释这些结果，如漏洞详细信息、解决建议和上下文相关的代码片段。

六、报告与缓解

对分析结果进行审查之后，用户需要制定相应的缓解措施。Fortify的报告功能允许用户生成详细的报告文件，这可以用于文档记录或与团队中的其他成员共享。使用软件安全中心，用户还能追踪与管理解决过程，并将安全任务分配给适当的开发人员。

七、集成与自动化

为了提高效率与效果，Fortify可以集成到软件开发生命周期的多个环节中，包括持续集成/持续部署（CI/CD）流程。通过自动化Fortify扫描，可以确保在代码提交和构建过程中不断进行安全检测，及时发现新引入的安全问题。自动化的同时，Fortify插件可以与多个开发工具集成，如Eclipse、Visual Studio等，使得安全测试更加紧密地与开发工作结合。